mangmangrenhai 2010-02-03
现在很多主流智能交换机,为了能够彻底的保证网络的安全,都采用了防火墙和IDS系统中的防攻击技术,应该说效果还是很明显的。对于智能小区宽带接入应用,将每个用户都划分在单独的VLAN中,也能够实现用户级的认证和访问控制,但这种方式只适用于固定接入的用户,且无法实现计费。
目前在宽带接入网和企业网中,以往用于电信运营网络中的AAA技术(授权、认证、计费),如传统的RADIUS、PPPoE,以及新兴的802.1x等用户认证功能等,开始被集成到智能交换机中,与认证服务器配合,从而实现基于用户的认证和访问控制。
对于企业网来说,通常要实现在用户访问不同的网络服务资源时,进行认证、访问控制及服务认证,而不是针对用户接入端口进行接入认证。因此,常用的方式是以访问控制列表或RADIUS认证服务器,对相关应用服务资源设置不同的访问权限,并针对用户实现认证和授权。对于宽带接入网来说,则需要通过用户认证实现对端口联通状态的控制,通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式来实现接入认证。
PPPoE是一种较为成熟的认证方式,通过PPP协议封装以太网帧,在无连接的以太网上提供了点对点的连接。PPPoE类似传统的拨号接入方式,用户端采用一个拨号软件,发起PPP连接请求,穿过智能交换机或者DSL设备,终结在集中控制管理层的接入网关设备上。接入网关设备负责终结PPP 连接,并与 RADIUS配合实现用户管理和策略控制。802.1x起源于802.11协议的EAPOL,是最近出现的一种以太网认证技术。 802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准。
802.1x认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制。基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制。连接在物理端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。认证通过时,从远端认证服务器可以传递来自用户的信息,如VLAN、CAR参数、优先级、用户的访问控制列表等; 认证通过后,用户的流量就将接受上述参数的监管。
802.1x要求接入智能交换机支持EAPOL协议,至少支持该报文的透传,但现有通常的网络设备多数不支持。虽然越来越多的厂商开始提供支持802.1x的智能交换机产品,但由于该协议标准尚未成熟,各厂商实现的方式不尽相同,它的发展受到了一定程度的制约。
防止网络攻击
为确保核心智能交换机不受类似拒绝服务(DoS)攻击而导致全网瘫痪,有的厂商在核心路由智能交换机中采用了防火墙和IDS系统中的防攻击技术,以确保核心交换机更加稳固和强壮。此举尤其可以抵御来自网络内部的攻击,提高系统的安全性。但是目前,该技术在边缘交换机中仍较少采用。
3Com SuperStack 3 Switch 4400简单易用
3Com公司的SuperStack 3 Switch 4400智能交换机简单易用、功能丰富。该产品具备更高的端口密度,并且具有在数据穿越网络进行传输时为重要业务应用分配较高优先服务级别的能力。除此之外,该产品的性能价格比是最高的。具备两倍于原有解决方案的端口密度,为客户降低了产品的总成本。通过SuperStack 3 Switch 4400交换机与其他各类千兆以太网交换产品之间的结合,3Com公司为用户提供了整套先进的企业级局域网络解决方案。
Cisco Catalyst 3550功能丰富
Cisco Catalyst 3550智能以太网交换机是一个可堆叠的智能交换机产品,可通过高可用性、服务质量(QoS)和安全性来改进网络运行状况。凭借一系列快速以太网和千兆以太网配置,Cisco Catalyst 3550适用于企业和城域接入应用,使用户能利用传统LAN交换的简洁性来部署网络智能服务。凭借内置Cisco集群管理套件简化了接入层和小型骨干网的部署,用全套千兆接口转换器(GBIC)设备提供了强大的千兆以太网连接。